W ostatnim czasie pojawiały się liczne doniesienia na temat kolejnej nieskromnej kary nałożonej na polskiego przedsiębiorcę przez Urząd Ochrony Danych Osobowych, mianowicie niebagatelne 660 000 EURO, a zatem 2 830 410 PLN…
Wszystko zaczęło się od utraty bazy danych klientów sklepów internetowych i uzyskania danych tych klientów, w tym także danych o szerokim zakresie takich jak nie tylko imię i nazwisko oraz adres, ale nr PESEL, seria i nr dowodu osobistego, wykształcenie, informacje o zaległościach, alimentach oraz innych zobowiązaniach, wysokość miesięcznych dochodów, czy liczba osób na utrzymaniu.
Mimo, iż ukarany przedsiębiorca podjął szereg czynności zapobiegawczych, albowiem przesłał stosowane powiadomienia o naruszeniu do ok. 2 200 000 klientów, opublikował oficjalną informację na swojej stronie i powiadomił UODO o skali naruszenia, to i tak środki te nie okazały się wystarczające.
Co ciekawe, w toku kontroli, przedsiębiorca ujawnił organowi nadzorczemu szereg środków bezpieczeństwa jakie w swojej działalności zastosował, co teoretycznie mogłoby stać się okolicznością łagodzącą, a jednak …
W ocenie UODO doszło do rażącego naruszenia zasady poufności, skutkującej naruszeniem praw i wolności wielu osób fizycznych , co mogło prowadzić do wyłudzenia danych tych osób, zaś następnie ich bezprawnego wykorzystania. Ponadto stwierdzono, że nieskuteczny środek uwierzytelniania danych klientów przyczynił się do uzyskania nieuprawnionego dostępu do danych tych osób. Zdaniem UODO przedsiębiorca nie dobrał skutecznych środków organizacyjnych i technicznych, jak również nie ocenił w stopniu wystarczającym zdolność do ciągłego zapewnienia poufności oraz nie uwzględnił ryzyka zawiązanego z uzyskaniem nieuprawnionego dostępu.
Inne zarzuty oscylowały wokół naruszenia zasady zgodności z prawem, rzetelności i rozliczalności, jak również przedsiębiorca nie był w stanie wykazać od kiedy zbierał określone kategorie danych osobowych.
Czy przy wymierzaniu najwyższej jak dotąd kary UODO wziął pod uwagę jakiekolwiek okoliczności łagodzące?
Oczywiście, że tak. Przede wszystkim zwrócono uwagę na podjęcie przez przedsiębiorcę wszelkich możliwych działań mających na celu usunięcie naruszenia, dobrą współpracę z organem nadzorczym, brak wykazania szkody osób fizycznych, których dane wyciekły, czy brak uprzednich naruszeń ze strony tego przedsiębiorcy.
Reasumując, najpoważniejszym naruszeniem okazało się naruszenie przez przedsiębiorcę zasady poufności oraz poważny charakter tego naruszenia.
Od wydanej przez UODO decyzji służy ukaranemu przedsiębiorcy wyłącznie prawo wniesienia skargi do Wojewódzkiego Sądu Administracyjnego w Warszawie. Firma ma na to jedynie 30 dni. Potem decyzja staje się prawomocna i wykonalna, a nałożoną karę należy uiścić w ciągu dwóch tygodni od upływu terminu na złożenie skargi.